Frutto di una profonda revisione della precedente legge sui dati personali, dal 1° settembre in Svizzera è entrata in vigore la nuova Legge federale sulla protezione dei dati (LPD). La nuova cornice normativa supera l’ordinamento del 1992, segnando un decisivo passo in avanti per i diritti dei cittadini in materia di trattamento e protezione dei dati personali. Una svolta necessaria, considerando la dirompente evoluzione tecnologica in termini di dispositivi e servizi che ha attraversato gli ultimi due decenni.  

Ma vediamo cosa cambia rispetto al passato e soprattutto quali sono le affinità e le principali differenze della legge elvetica rispetto alla normativa europea in materia di protezione dei dati personali (GDPR). Aspetti, questi, di importanza centrale per i titolari del trattamento che abbiano relazioni dirette con la Svizzera e che pertanto devono prendere opportuna coscienza delle disposizioni previste dalla Legge federale.

Cosa cambia rispetto al passato

Le principali novità della nLPD – nuova Legge Federale sulla protezione dei dati – rispetto al precedente impianto sono:

1. La legge si applica solo ai dati delle persone fisiche non prendendo più in considerazione quelli delle persone giuridiche.
2. La definizione dei dati sensibili si estende anche alle categorie di dati genetici e biometrici. 
3. Vengono introdottii principi di “Privacy by Design” e di “Privacy by Default”, disponendo nell’ambito dell’art. 8 che titolari e responsabili garantiscano “appropriati provvedimenti tecnici e organizzativi”.
4. In caso di rischio elevato per tutela delle persone e dei diritti fondamentali devono essere condotte delle analisi d’impatto, facendo propri gli adempimenti del GDPR connessi alla valutazione d’impatto (art. 22).
5. La raccolta di tutti i dati personali – non più soltanto di quelli sensibili – è subordinata all’obbligo di informare preventivamente gli interessati.
6. Viene introdotto, a determinate condizioni, l’obbligo di dotarsi di un registro dei trattamenti e la facoltà di nominare un “consulente per la protezione dei dati” (figura analoga a quella del DPO prevista dal GDPR).
7. In caso di violazione dei dati personali, il titolare deve notificare il breach all’Incaricato federale per la protezione dei dati e per la trasparenza (IDT), ovvero il Garante svizzero, eccetto non si tratti di uno dei casi per cui tale obbligo non sia previsto.
8. Introduzione della nozione di profilazione (inteso come trattamento automatizzato dei dati personali) che nella normativa svizzera prevede un’accezione peculiare con la definizione di “profilazione a rischio elevato”, ossia “che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata”.

LPD e GDPR a confronto

Da un primo sguardo emergono chiaramente le somiglianze con il General Data Protection Regulation e come molti dei principi ed istituti applicabili al trattamento di dati personali in Svizzera siano mutuati – in maniera più o meno pedissequa – dal Regolamento Europeo. Lo si nota in maniera evidente nelle stesse definizioni “dati personali” e “interessato” con significati analoghi a quelli

tracciati dal GDPR o di “dati personali degni di particolare protezione” praticamente sovrapponibile con la versione europea di “categorie particolari di dati personali”.

Stesso livello di analogia è riscontrabile sia negli obblighi informativi a capo dei titolari che nei diritti nei confronti degli interessati. Non meno rilevante il tema del trasferimento di dati personali all’estero per cui si rendono necessarie adeguate garanzie e deroghe come novellato al Capo V del GDPR.

L’impatto della nuova cornice normativa non avrà effetti dirompenti per le imprese elvetiche e non che avevano già affrontato il processo di adeguamento al GDPR e che potranno godere di un indubbio vantaggio sia in termini tecnici e organizzativi che a livello competitivo rispetto al mercato. Non meno trascurabile l’aspetto connesso all’ambito di applicazione: la LPD, infatti, si applicherà “alle fattispecie che generano effetti in Svizzera, anche se si verificano all’estero”; ciò significa che – sebbene tale interpretazione non sia ancora confermata da pronunce e/o provvedimenti del Garante svizzero – ogni qualvolta un titolare del trattamento si trovi a trattare dati personali di cittadini svizzeri, è soggetto al rispetto del suddetto impianto normativo.

Ulteriore punto su cui merita soffermarsi è quello descritto all’articolo 14 relativo alla possibile necessità di nominare un rappresentante in Svizzera. Non si tratta di una riproposizione dell’art. 27 del GDPR, ma vi è una sostanziale differenza nelle indicazioni dell’art. 14 della LPD: nel testo si legge  infatti che qualsiasi titolare che, pur avendo sede all’estero, tratti dati personali di cittadini svizzeri debba nominare un rappresentate in Svizzera nel caso in cui (i) il trattamento sia connesso “a un’offerta di merci o prestazioni o finalizzato a porre sotto osservazione il comportamento di dette persone”, (ii) sia un trattamento su larga scala, (iii) sia un trattamento periodico e (iv) comporti un rischio elevato per la personalità delle persone interessate.

Rispetto alla normativa GDPR, quella elvetica, pur imponendo al titolare di affidare il trattamento ad un responsabile in grado di garantire la sicurezza dei dati personali, non ne definisce le modalità e non approfondisce diritti e doveri che ne disciplinano il rapporto con il titolare, come invece avviene dettagliatamente e in maniera molto strutturata nel Regolamento europeo (art. 28 GDPR).

Sul fronte sanzionatorio – per concludere questa breve analisi – la Legge Federale prevede, in caso di violazione delle disposizioni, sanzioni, per la persona fisica, fino ad un massimo di 250.000 franchi. Nel caso in cui le persone fisiche responsabili delle violazioni non siano ragionevolmente individuabili e la multa non superi i 50.000 franchi, le sanzioni potranno ricadere direttamente sulle aziende.